如何配置 WinRMHTTPS使用基本身份验证
150884
Created On 10/27/21 16:12 PM - Last Modified 09/14/23 21:31 PM
Objective
- 本文档将解释我们如何配置 WinRM 的步骤HTTPS具有用于服务器监控的基本身份验证Pan-OS集成用户 ID(无代理用户-ID )
Environment
- Pan-OS 9.0 及更高版本
- Pan-OS 集成用户标识配置(Agentless User-ID )
- Active Directory 窗口服务器/Microsoft Exchange 服务器 2008 及更高版本
Procedure
- 请按照以下步骤配置 WinRMHTTPS用于服务器监控的基本身份验证
注意:用于在要监视的服务器上配置 WinRM 的帐户必须具有管理员权限。
- 使用远程管理用户和 CIMV2 权限配置服务帐户。 参考文档
- 在窗口服务器上启用 WinRM
- 要为 WinRM 连接打开 Window 服务器上的端口,请输入命令: winrm 快速配置然后输入是确认更改
- 然后确认输出显示WinRM 服务启动
- 如果启用了 WinRM,则输出显示WinRM 服务已在此计算机上运行. 系统将提示您确认任何其他必需的配置更改
- 通过输入以下命令验证 WinRM 是否使用正确的协议进行通信: winrm 枚举 winrm/config/listener
- 验证窗口服务器证书是否安装在本地计算机证书存储中(证书(本地计算机)> 个人 > 证书)
- 打开证书并选择一般>详细信息>显示:<ALL > ,选择指纹,然后复制它
- 在窗口服务器命令提示符下,输入以下命令: winrm 创建 winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="<Hostname>";CertificateThumbprint="证书指纹"}
- 主机名是受监控的服务器,证书指纹是您从证书中复制的值
- 确保删除证书指纹中的所有空格以确保 WinRM 可以验证证书
4. 指定认证类型并验证服务器与客户端之间的认证是否成功 firewall
- 为客户端启用基本身份验证。在命令提示符下,输入以下命令: winrm 设置 winrm/config/client/auth @{Basic="true"}
- 运行命令: winrm 获取 winrm/config/client/Auth确认 Basic = true
- 为服务启用基本身份验证。在命令提示符下,输入以下命令: winrm 设置 winrm/config/service/auth @{Basic="true"}
- 运行命令: winrm 获取 winrm/config/service/Auth确认 Basic = true
Firewall 侧面配置:
5.启用身份验证PAN-OS综合用户-ID代理程序和您计划使用 WinRM 监视的窗口服务器
- 来自firewall网页界面,选择设备>用户识别>用户映射>帕洛阿尔托网络用户-ID代理设置 > 服务器监控帐户。
- 在域\用户名格式中,输入用户-ID代理将用于监视服务器。(在步骤 1 中配置)
- 输入域的DNS服务器监控帐号名称
- 输入服务帐户的密码和确认密码,然后单击 OK
6.配置PAN-OS综合用户-ID代理使用 WinRM 传输协议来监视 Windows 服务器。
- 选择 Microsoft 服务器类型(Microsoft Active Directory 或 Microsoft Exchange)
- 选择传输协议 WinRM-HTTPS
- 输入IP地址或FQDN服务器的网络地址
7. 将用于签署窗口服务器证书的根证书导入到firewall并将其与用户相关联-ID证书简介
- 在下面配置证书配置文件设备>证书管理>证书配置文件. 在下面使用根证书(在步骤 7 中导入)CA证书字段
- 选择设备>用户识别>连接安全并单击编辑。
- 选择要用于用户的证书配置文件-ID证书配置文件,然后单击OK.
- 提交配置
8.验证配置为服务器监控的每个服务器的状态在连接状态设备>用户识别>用户映射Web 界面中的选项卡。
Additional Information
管理员指南
笔记:为 Windows 提供的信息可能会因 Windows 版本而异。